Transcription
Normas deSeguridad paraAfrontar elVirus I Love YouLima, Mayo de 2000
Elaboración:Sub-Jefatura de InformáticaImpreso en los Talleres de la Oficina de Impresiones de laOficina Técnica de Difusión Estadística y TecnologíaInformática del Instituto Nacional de Estadística e InformáticaDiagramaciónEdiciónDomicilioOrden Nº::::Centro de Edición del INEI500 EjemplaresAv. Gral. Garzón Nº 658 Jesús María, Lima 11357 - OTDETI - INEI
Normas de Seguridad para Afrontar el Virus “I Love You”PresentaciónEl Instituto Nacional de Estadística e Informática (INEI) en el marco del Plan de Acción diseñadopara promover la seguridad de la información en las entidades públicas y privadas, pone adisposición el documento titulado NORMAS DE SEGURIDAD PARA AFRONTAR EL VIRUS“ILOVEYOU”.Este virus que tardó solamente 5 horas para propagarse por cinco continentes a través de correoelectrónico y, que afectó a un gran número de organismos nacionales e internacionales, endiversas partes del mundo, asombró a los expertos por su velocidad de propagación.En el presente documento, se pretende proporcionar información y soluciones para afrontar yminimizar los efectos de este virus, particularmente peligroso por su capacidad de mutación.En el primer capítulo se presentan definiciones y conceptos generales sobre los virus informáticos,su naturaleza, tipos y programas para contrarestarlos. En el segundo capítulo se describe y analizael virus “ILOVEYOU”, como se manifiesta y propaga, cuales son los síntomas de infección y quedaños causa, así como, los variantes o mutaciones del mismo.En el tercer capítulo se presentan acciones de prevención, recomendaciones y prácticas paraevitar la infección con este virus en particular. En el cuarto capítulo se tratan los procedimientos yacciones necesarios para afrontar y eliminar los efectos nocivos del virus cuando se verifica suincursión y propagación en los sistemas informáticos de la entidad.En el quinto capítulo se presentan recomendaciones de políticas y normas de carácter generalpara la prevención, detección y eliminación de virus informáticos. Finalmente, en el capítulo sextose presenta una lista de Páginas Web que contienen información sobre la materia.El INEI, se complace en poner a disposición de las entidades de la Administración Pública yempresas del Sector Privado la presente publicación, como una contribución en las accionesorientadas a afrontar las amenazas del virus “ILOVEYOU”.FELIX MURILLO ALFAROJEFEINSTITUTO NACIONAL DEESTADISTICA E INFORMATICAInstituto Nacional de Estadística e Informática3
Normas de Seguridad para Afrontar el Virus “I Love You”4Instituto Nacional de Estadística e Informática
Normas de Seguridad para Afrontar el Virus “I Love You”IndiceIntroducción.07I.Definiciones . 09¿Qué es un virus?.09Virus tipo programas malignos.09Virus para Correo Electrónico .11Antivirus Informáticos.12II.Virus “I Love You” . 14¿Cómo se Presenta?.14¿Cómo se Instala el virus? .15¿Cuáles son los síntomas del virus? .16¿Qué daños causa el virus?.19Variantes del Virus “I Love You” .20III.Prevención . 24¿Qué hacer antes de ser infectado?.24IV.Eliminación . 25¿Qué hacer si esta infectado? .25V.Recomendaciones. 27Políticas de Seguridad ante los virus.27Normas para la prevención, detección yeliminación de virus informáticos .29VI.Página Web donde se puede encontrar información . 33Instituto Nacional de Estadística e Informática5
Normas de Seguridad para Afrontar el Virus “I Love You”6Instituto Nacional de Estadística e Informática
Normas de Seguridad para Afrontar el Virus “I Love You”IntroducciónCuando aún permanece en la memoria de muchos usuarios y administradores de red,las consecuencias del virus Melissa, la frase "I love you" se ha convertido en las últimashoras en la pesadilla de un inmenso número de servidores en el mundo. Lasconsecuencias han sido especialmente conocidas por usuarios y empresas que trabajancon Internet, utilizando el correo electrónico como herramienta de trabajo.Los datos ofrecidos por agencias noticiosas a la fecha, informan que cientos deservidores en Estados Unidos, América Latina, Asia y Europa, han sufrido el ataque deun virus llamado "I Love You". Este virus informático es denominado técnicamenteVBS/LoveLetter por agencias de seguridad de datos y las empresas proveedoreas deantivirus. Se activa sólo en el correo electrónico cliente de Microsoft Outlook. Una vezque se apertura el mensaje original infectado, inicia su actividad enviando en formamasiva mensajes iguales a las direcciones archivadas en la agenda de la aplicaciónoutlook.Instituto Nacional de Estadística e Informática7
Normas de Seguridad para Afrontar el Virus “I Love You”Esta nueva generación de virus resulta exponencialmente nociva, por tratarse de unaactividad automática de spamming, o recepción no solicitada de mensajes de correo,hasta el punto de no necesitar de la activación del archivo incluido para el comienzo dela actividad. En el caso de “I Love You” sólo basta abrir el correo recibido.Según las primeras investigaciones, el autor puede ser un adolescente filipino, cuyolema proclamado ha sido "Odio ir a la escuela". De hecho el código fuente delmencionado virus incluye esta frase en su programación.El Perú no es ajeno a los ataques del Virus “I LOVE YOU”. El INEI cuenta coninformación sobre ataques en algunas PCs de entidades públicas y noticiasperiodísticas, dan cuenta de estos ataques a entidades del sector privado.“I LOVE YOU” representa la clarinada de alerta que la comunidad informática debetomar en consideración, con el fin de disponer en el corto plazo una Política deSeguridad de Información y un conjunto de Programa de Seguridad y Contingenciaespecíficos, que permitan proteger cada proceso institucional, potencialmenteamenazado por esta nueva generación de virus informáticos.Esta publicación presenta información sobre el virus y desarrolla, en forma práctica, lasmedidas que los servicios informáticos de las entidades públicas y privadas deben poneren práctica para afrontar el virus “I Love You”.8Instituto Nacional de Estadística e Informática
Normas de Seguridad para Afrontar el Virus “I Love You”I. Definiciones¿QUE ES UN VIRUS INFORMATICO?Los virus informáticos son programas que utilizan técnicas sofisticadas, diseñados porexpertos programadores, que tienen la capacidad de reproducirse por sí mismos, unirsea otros programas, ejecutando acciones no solicitadas por el usuario. La mayoría deestas acciones son hechas con mala intención.Los virus informáticos, atacan al usuario de una PC, destruyendo o afectando lainformación que no esté protegida. Actualmente los virus informáticos tienen diversosefectos.Lamayoría de los virus suelen ser programas residentes en memoria, se van copiandodentro de los archivos del computador.VIRUS TIPO PROGRAMAS MALIGNOSSon programas que deliberadamente borran archivos o software indicados por susautores eliminándose así mismo cuando terminan de destruir la información.Instituto Nacional de Estadística e Informática9
Normas de Seguridad para Afrontar el Virus “I Love You”Entre los principales programas malignos tenemos: Bombas Lógicas y de TiempoJokesGusanosCaballos de Troya Bombas Lógicas y de TiempoSe caracterizan por: Son programas ocultos en la memoria del sistema, en el disco o en losarchivos de programas ejecutables con extensión .COM y .EXE.Una Bomba de Tiempo se activa en una fecha u hora determinada.El daño que las bombas de tiempo puedan causar depende de su autor.Una Bomba Lógica se activa al darse una condición específica.Tanto las bombas lógicas como las bombas de tiempo, aparentan un malfuncionamiento del computador, hasta causar la pérdida de la información.JokesSon bromas que semejan ser virus. Su objetivo es el de alarmar al usuariomediante bromas. Se caracterizan por: Son programas desarrollados con el objetivo de hacer bromas, de malgusto, ocasionando distracción y molestias a los usuarios.Muestran en la pantalla mensajes extraños con la única intención defastidiar al usuario.GusanosSon programas cuya única finalidad es la de consumir la memoria del sistema,mediante la realización de copias sucesivas de sí mismo, hasta saturar lamemoria RAM, Esta es su única acción maligna. Se caracterizan por: 10Es un programa que se autoreproduce.No infecta otros programas como lo haría un virus, pero crea copias de él,las cuales a su vez crean más copias.Se usan mayormente para atacar grandes sistemas informáticos, medianteuna red de comunicaciones como Intranet o Internet, donde el gusanocreará más copias rápidamente, obstruyendo el sistema.Instituto Nacional de Estadística e Informática
Normas de Seguridad para Afrontar el Virus “I Love You” Se propagan rápidamente en las computadoras.Utilizan gran cantidad de memoria del computador, disminuyendo lavelocidad de ésta.Caballos de TroyaSon programas concretos que se introducen en el computador para instalarse enellos. Emplean otras aplicaciones y abren una puerta a posibles acciones dañinasen el sistema. Se caracterizan por: Son programas que se introducen en el sistema bajo una aparienciatotalmente diferente a la de su objetivo final.Se presentan como información perdida o basura sin ningún sentido.Al cabo de un determinado tiempo y esperando la indicación del programa,se activan y comienzan a ejecutarse.Sus autores lo introducen en los programas más utilizados o softwaresilegales como por ejemplo : Windows 95No se autoreproducen.Su misión es destruir toda la información que se encuentra en los discos.VIRUS PARA CORREO ELECTRONICOEste tipo de virus no puede copiarse ni tampoco destruye el disco duro del usuario conel hecho de leer un correo electrónico, ya que éstos se componen simplemente de texto.El problema empieza cuando se ejecutan los archivos adjuntos ("attach mail"), ya que sepuede recibir un archivo ejecutable que sí podría contener un virus. Por ello; es lo mejorno ejecutar directamente los archivos desde el mismo correo, sino almacenarlos en eldisco duro y chequearlos con un antivirus antes de utilizarlos.Si el programa de correoelectrónico está configu-radopara leer los mensa-jesautomáticamenteconMicrosoft Word, es posiblerecibir un virus de ma-cro einfectar el editor de textosWord. Cuando se tiene tuto Nacional de Estadística e Informática11
Normas de Seguridad para Afrontar el Virus “I Love You”(Herramientas /Opcio-nes) y antes chequear con un antivirus los archi-vos recibidosantes de ejecutarlos.ANTIVIRUS INFORMATICOSEl antivirus es cualquier metodología, programa o sistema para prevenir la activaciónde los virus, su propagación y contagio dentro de un sistema y su inmediata eliminacióny la reconstrucción de archivos o de áreas afectadas por los virus informáticos.Los antivirus permiten la detección y eliminación de virus. Mediante una cadena delantivirus que busca, encuentra y elimina los distintos virus informáticos.El software antivirus contrarresta de varias maneras los efectos de los virus informáticosal detectarlos. La mayoría de las soluciones se basan en tres componentes para ladetección : exploración de acceso, exploración requerida, y suma de comprobación.La exploración de acceso : Inicia automáticamente una exploración de virus, cuando seaccede a un archivo, es decir al introducir un disco, copiar archivos, ejecutar unprograma, etc.La exploración requerida : El usuario inicia la exploración de virus. Las exploraciones sepueden ejecutar inmediatamente, en un directorio o volumen determinado.La suma de comprobación o comprobación de integridad : Método por el cual unproducto antivirus determina si se ha modificado un archivo. Como el código vírico seune físicamente a otro archivo, se puede determinar tal modificación guardando lainformación del archivo antes de la infección.12Instituto Nacional de Estadística e Informática
Normas de Seguridad para Afrontar el Virus “I Love You”La suma de comprobación es generalmente exacta y no necesita actualizaciones. Sinembargo la suma de comprobación no proporciona ni el nombre, ni el tipo de virus.Los programas antivirus se componen fundamentalmente de dos partes : un programaque rastrea (SCAN) si en los dispositivos de almacenamiento se encuentra alojadoalgún virus y otro programa que desinfecta (CLEAN) a la computadora del virusdetectado.Instituto Nacional de Estadística e Informática13
Normas de Seguridad para Afrontar el Virus “I Love You”II. Virus “I Love You”¿COMO SE PRESENTA?Este virus se presenta bajo la modalidad de gusano. Está escrito en Visual Basic Script,y está infectando a miles de computadores a través del correo electrónico. Si recibe unmensaje con el asunto "ILOVEYOU" y el archivo adjunto LOVE-LETTER-FORYOU.TXT.vbs, le aconsejamos borrarlo inmediatamente.Aunque la extensión VBS (Visual Basic Script) puede permanecer oculta en lasconfiguraciones por defecto de Windows, lo cual puede hacer pensar que se trate de uninocente archivo de texto.Cuando se abre el archivo infectado, el virus gusano procede a infectar el sistema yexpandirse rápidamente, enviándose a todos aquellos contactos que tiene la agenda de14Instituto Nacional de Estadística e Informática
Normas de Seguridad para Afrontar el Virus “I Love You”direcciones, incluidas las agendas globales corporativas. Es importante no ejecutarningún archivo adjunto que venga con dicho mensaje.Un análisis preliminar permite identificar, a partir de las primeras líneas, el código delvirus gusano que procede de Manila, Filipinas, y el autor se apoda "spyder". Sinembargo, esta información está siendo investigada:rem barok -loveletter(vbe) i hate go to school rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group /Manila,Philippines¿COMO SE INSTALA EL VIRUS?El virus VBS/LoveLetter.A llega en un mensaje de e-mail similar a:Asunto: ILOVEYOUCuerpo del mensaje: kindly check the attached LOVELETTER coming from me.Attachment: LOVE-LETTER-FOR-YOU.TXT.vbsSi el usuario abre el archivo adjunto (LOVE-LETTER-FOR-YOU.TXT.vbs), el gusano secopia a los siguientes directorios:\windows\system - MSKernel32.vbs\windows - Win32DLL.vbs\windows\system - LOVE-LETTER-FOR-YOU.TXT.vbsDespués de esto modifica el registro de Windows para ejecutarse automáticamente encada inicio del sistema (archivos MSKernel32.vbs y Win32DLL.vbs):Registro:HKEY LOCAL Run"MSKernel32" "{\windows}\systemMSKernel32.vbs"HKEY LOCAL RunServices"Win32DLL" "{\windows}\Win32DLL.vbs"Instituto Nacional de Estadística e Informática15
Normas de Seguridad para Afrontar el Virus “I Love You”MAILS EN MASA:El siguiente paso del virus gusano es enviar por e-mail a todos los usuarios de la libretade direcciones del OutLook. El virus gusano genera múltiples mensajes del tipo:Asunto: ILOVEYOUCuerpo del mensaje: kindly check the attachedLOVELETTER coming from me.Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs16Instituto Nacional de Estadística e Informática
Normas de Seguridad para Afrontar el Virus “I Love You”¿CUÁLES SON LOS SINTOMAS DEL VIRUS?1.2.La recepción de un mensaje de correo electrónico que presenta las siguientescaracterísticas:-En el Asunto puede leerse alguno deILOVEYOU Susitikim shi vakara kavos puodukui. fwd: Joke Mothers Day Order Confirmation Dangerous Virus Warning Virus ALERT!!! Important ! Read carefully !!lossiguientes-La existencia de un archivo adjunto cuyo nombre puede ser: LOVE-LETTER-FOR-YOU.TXT.vbs VERY FUNNY.VBS. MOTHERSDAY.vbs VIRUS WARNING.JPG.VBS PROTECT.VBS IMPORTANT.TXT.vbstextos:Si al recibir el mensaje, el usuario lo abre, el equipo resultará infectado. Lossíntomas de la infección son, entre otros:Cambios en los archivos con extensión :vbs, vbe, js, jse, css, wsh, sct, hta, jpg,jpeg, wav, txt, gif, doc, htm, html, xls, com, bat, mp3 y mp2 .3.La aparición, en el registro de configuración de Windows, de las siguientesentradas: HKEY LOCAL un\MSKerne32HKEY LOCAL un\Services\Win32DLLEn la variante "I" los archivos MSKernel32.vbs y Win32DLL.vbs, se llamanESKernel32.vbs y ES32DLL.vbs, respectivamente.Instituto Nacional de Estadística e Informática17
Normas de Seguridad para Afrontar el Virus “I Love You”Forma de Ingreso y los estragosdel Virus ”I Love You”Un correo inhabitual y redactado en inglésLlega al buzón electrónico de la computadoraTema: “ILOMensaje VEYOU”: “abra el archivoencuentradaArchivo mi carta de amo junto donde a apertura delarchivo adjunto“LOVE-LETTERFOR-YOU.TXT.vbs”Activa el virus3Penetrar en elsistema deexploraciónY destrozar losarchivosEl viruspuede.-Apoderarse delas contraseñasde acceso ainternet- Multiplicarse18-Enviar por símismo mensajestrampa a losdestinatariosque figuran enla agenda dedirecciones- Introducirse encada ordenadorde una red- Corromper losarchivos alinsertar el virusEntre los archivos amenazados, aquellos quetienen como A.VBS.WSHInstituto Nacional de Estadística e Informática
Normas de Seguridad para Afrontar el Virus “I Love You”¿QUE DAÑOS CAUSA EL VIRUS?El virus sobrescribe con su código maligno los archivos con extensiones: .VBS y .VBE.Elimina los archivos con extensiones: .JS, .JSE, .CSS, .WSH, .SCT y .HTA,y crea otros archivos con el mismo nombre y extensión .VBS en el que introduce sucódigo maligno.También localiza los archivos con extensión: .JPG, .JPEG, .MP3 y .MP2, eliminandolos del disco duro,y crea otros archivos, donde el nuevo nombre está formado por el nombre y laextensión anterior más la extensión .VBS.A continuación presentamos los tipos de archivos que son afectados por el virus “I TA.JPG.JPGE.MP3.MP2ARCHIVOSVisual Basic ScriptUtilitario de gráficos del Script – Gráficos 3DJava ScriptJava ScriptHojas de Estilo (Cascade Style Sheet)Windows Scripting HostComponente (Windows Script Componet)Componente (Windows Script Componet)GráficoGráficoMúsicaMúsicaInstituto Nacional de Estadística e Informática19
Normas de Seguridad para Afrontar el Virus “I Love You”VARIANTES DEL VIRUS “I LOVE YOU”Se han detectado múltiples variantes del virus “I Love You”. Entre ellas se tiene: VBS/LoveLetter.B, alias “Lithuania”.Diferencias:Asunto : "Susitikim shi vakara kavos puodukui.".Cuerpo del mensaje: kindly check the attached LOVELETTER coming from me. VBS/LoveLetter.C, alias "Very Funny".Diferencias:Asunto: "fwd: joke"Archivo adjunto: VERY FUNNY.VBS.Cuando se envía a través de un canal de IRC, el archivo recibe el nombre VERYFUNNY.HTM. VBS/LoveLetter.D, alias “BugFix”Diferencias:Asunto: ILOVEYOUArchivo adjunto: LOVE-LETTER-FOR-YOU.TXT.vbsCuerpo del mensaje: kindly check the attached LOVELETTER coming from me.Nota: en el registro de Windows: WIN- -BUGSFIX.exe en vez deWIN-BUGSFIX.exe VBS.LoveLetter.E (alias "Mother's Day")Diferencias:Asunto: Mothers Day Order ConfirmationFichero adjunto: mothersday.vbsCuerpo del mensaje: We have proceeded to charge your credit card for theamount of 326.92 for the mothers day diamond special. We have attached adetailed invoice to this email. Please print out the attachment and keep it in a rsday@subdimension.com20Instituto Nacional de Estadística e Informática
Normas de Seguridad para Afrontar el Virus “I Love You”Nota: mothersday.HTM enviado por IRC. Comentario en el código: remhackers.com, & start up page to hackes.com, l0pht.com, or 2600.com VBS/LoveLetter.F, alias “Virus Warnig”Diferencias:Asunto: "Dangerous Virus Warning"Archivo adjunto: VIRUS WARNING.JPG.VBS.Cuando se envía a través de un canal de IRC, el archivo recibe el nombre de: URGENT VIRUS WARNING.HTM.Cuerpo: "There ia a dangerous virus circulating. Please click attached picture toview it and learn to avoid it"1.Las direcciones web a las que intenta conectarse son: HKCU\Software\Microsoft\Internet Explorer\Main\Start Page, con el valor http://www.skycable.tucows.com/files2/setup24.exe HKCU\Software\Microsoft\Internet Explorer\Main\Start Page, con el .exe HKCU\Software\Microsoft\Internet Explorer\Main\Start Page, con el .exe HKCU\Software\Microsoft\Internet Explorer\Main\Start Page, con el .exeEn ninguna de dichas direcciones se han encontrado instrucciones para descargaralgún archivo infectado.2. También actúa sobre los archivos con extensiones: WAV, TXT, GIF, DOC,HTM, HTML y XLS.VBS/LoveLetter.G, alias “Virus Alert”Diferencias:1.El mensaje de correo electrónico en el que se envía tiene las siguientescaracterísticas, en inglés:De: support@symantec.comAsunto: "Virus ALERT!!!"Instituto Nacional de Estadística e Informática21
Normas de Seguridad para Afrontar el Virus “I Love You”Cuerpo: "Symantec's AntiVirus Research Center began receiving reportsregarding VBS.LoveLetter.A virus early morning on May 4, 2000 GMT. Thisworm appears to originate from the Asia Pacific region.Distribution of the virus is widespread and hundreds of thousands ofmachines are reported infected.The VBS.LoveLetter.A is an Internet worm that uses Microsoft Outlook to email itself as an attachment.The subject line of the e-mail reads ILOVEYOU, with the attachment titledLOVE-LETTER-FOR-YOU.TXT.VBS. Once the attachment is opened, the virusreplicates and sends an e-mail to all e-mail addresses listed in the addressbook. The virus also spreads itself via Internet relay chat and infects files onlocal and remote drives including files with extensions vbs, vbe, js, sje, css,wsh, sct, hta, jpg, jpeg, mp3, mp2. Users should exercise caution whenopening e-mails with this subject line, even if the e-mail is from someonethey know, as that is how the virus is spread.Symantec Corp. today announced availability of the virus definition to detect,repair and protect users against the VBS.LoveLetter.A virus. This definition isavailable now via Symantec's LiveUpdate and can also be downloaded fromthe following web oveletterhttp://www.digitalriver.com/symantecAlso as a quick solution Symantec Corp. offers Visual Basic Script to protectyour PC against this worm. (See attached.) Note! When executed, this scriptwill protect Your PC from being INFECTED by BS.LoveLetter.A virus. To curealready infected PC's download Norton Antivirus Updates mentioned above.Symantec Corporation - a world leader in internet security technology."2.22El archivo incluido en el mensaje de correo electrónico en el que se envía sedenomina: PROTECT.VBS.PROTECT.VBSCuando se envía a través de un canal de mIRC, el archivo recibe elnombre de: PROTECT.HTM.Instituto Nacional de Estadística e Informática
Normas de Seguridad para Afrontar el Virus “I Love You”3.Las direcciones web a las que intenta conectarse son: HKCU\Software\Microsoft\Internet Explorer\Main\Start Page, con el valorhttp://3doc.dailypussy.com/gallery/bunny.html HKLM\Software\Microsoft\Internet Explorer\Main\Start Page, con el valorhttp://3doc.dailypussy.com/gallery/bunny.html HKLM\Software\Microsoft\Internet Explorer\Main\Search Page, con elvalorhttp://astalavista.box.sk HKLM\Software\Microsoft\Internet Explorer\Main\Search Page, con elvalorhttp://astalavista.box.sk HKLM\Software\Microsoft\Internet Explorer\Main\Defaul Page URL, conel valor http://www.persiankitty.com lPage,asignándole el valor PROTECT.HTM, que es el archivo que ha copiadoen el directorio SYSTEM de Windows.En ninguna de dichas direcciones se han encontrado instrucciones paradescargar algún archivo infectado.4. También actúa sobre los archivos con extensiones: COM y BATVBS/LoveLetter.H, alias “No Comments”Diferencia:Asunto: ILOVEYOUArchivo adjunto: LOVE-LETTER-FOR-YOU.TXT.vbsCuerpo del mensaje: kindly check the attached LOVELETTER coming from me.Nota: las líneas de comentario han sido eliminadas. VBS.LoveLetter.I, alias "Important! Read carefully!!"Diferencia:Asunto: Important! Read carefully!!Archivo adjunto: Important.TXT.vbsCuerpo del mensaje: Check the attached IMPORTANT coming from me!Notas: línea de comentario: by: BrainStorm / @ElectronicSouls. También copialos archivos ESKernel32.vbs y ES32DLL.vbs, y añade comentarios al script.ini demIRC referentes a BrainStorm y ElectronicSouls, así como envía el archivoIMPORTANT.HTM a través de DCC.Instituto Nacional de Estadística e Informática23
Normas de Seguridad para Afrontar el Virus “I Love You”III. Prevención¿QUE HACER ANTES DE SER INFECTADO?Para hacer frente al virus “I LOVE YOU” y a todo tipo de códigos malignos es esencial: Instalar un antivirus eficaz en su PC o red.Actualizar dicho antivirus constantemente, ya que los virus pueden surgir de lanada y propagarse de manera exponencial en cuestión de horas.No ejecutar ningún archivo adjunto a un mensaje de correo que provenga de unafuente desconocida y aquellos que, aun proviniendo de fuentes conocidas, nohayan sido solicitadosInfórmese puntualmente sobre todos las novedades en la seguridad informáticaActualizaciónpermanente delsoftware antivirus24Instituto Nacional de Estadística e Informática
Normas de Seguridad para Afrontar el Virus “I Love You”IV. Eliminación¿QUE HACER SI ESTA INFECTADO?En caso no cuente con un antivirus actualizado se recomienda llevar adelante elsiguiente procedimiento para eliminar el virus:El virus gusano crea las siguientes claves en el registro (regedit), que deberán serborradas para evitar que el virus se ejecute de forma automática al iniciar el sistema:HKEY LOCAL Run\MSKernel32HKEY LOCAL RunServices\Win32DLLTambién será necesario borrar los archivos: WIN32DLL.VBSubicado en el directorio de Windows (por defecto \WINDOWS) MSKERNEL32.VBSLOVE-LETTER-FOR-YOU.VBSubicados en el directorio de sistema (por defecto\WINDOWS\SYSTEM)Si el virus realizó lo anterior es necesario revisar si se activó la segunda parte del códigomaligno del virus gusano, que es modificar la página de inicio de Internet Explorer conuna de las 4 direcciones, que elige según un número aleatorio bajo el dominiohttp://www.skyinet.net. Estas direcciones apuntan al archivo WIN-BUGSFIX.EXE, y unavez descargado modifica el registro de Windows para que este programa también seaejecutado cuando se inicia el sistema modificando la configuración de Internet Explorer,presentando en esta ocasión una página en blanco como inicio.Si el virus gusano ha conseguido realizar el paso anterior también se deben borrar losarchivos el archivos: WIN-BUGSFIX.EXE, ubicado en el directorio de descarga de Internet Explorer y laentrada del registro:HKEY LOCAL Run\WIN-BUGSFIXInstituto Nacional de Estadística e Informática25
Normas de Seguridad para Afrontar el Virus “I Love You”El virus gusano también detecta la presencia del programa mIRC, buscando algunos delos siguientes archivos: mirc32.exe,mlink32.exe,/mirc.ini yscript.ini.En caso de que se encuentren en el sistema el virus gusano escribe en el mismodirectorio su propio archivo SCRIPT.INI donde podemos encontrar, entre otras líneas,las siguientes instrucciones:n0 on 1:JOIN:#:{n1 /if ( nick me ) { halt }n2 /.dcc send nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTMn3 }26Instituto Nacional de Estadística e Informática
Normas de Seguridad para Afrontar el Virus “I Love You”V. RecomendacionesPOLITICAS DE SEGURIDAD ANTE LOS VIRUSComo parte de la política de seguridad de información institucional, se debe poner enmarcha una política de seguridad ante los virus.La política de seguridad se comprueba realizando el seguimiento de las medidasdiseñadas, mediante la implementación de auditorías permanentes, que permitenasegurar que la política se adapta a la organización.El desarrollo de redes globales a las que se accede desde cualquier parte del mundocon un coste bajo y desde cualquier hogar como es INTERNET, aumentaestadísticamente la probabilidad de que alguien no autorizado i
Los virus informáticos, atacan al usuario de una PC, destruyendo o afectando la información que no esté protegida. Actualmente los virus informáticos tienen diversos efectos. La mayoría de los virus suelen ser programas residentes en memoria, se van copiando dentro de los archivos del computador. VIRUS TIPO PROGRAMAS MALIGNOS
